Comment puis-je empêcher l'environnement de récupération Windows d'être utilisé comme porte dérobée?

39

Sous Windows 10, l'environnement de récupération Windows (WinRE) peut être lancé en coupant l'alimentation de l'ordinateur à plusieurs reprises au cours de la séquence de démarrage. Cela permet à un attaquant disposant d'un accès physique sur un ordinateur de bureau d'obtenir un accès administratif en ligne de commande. Il peut alors afficher et modifier les fichiers, réinitialiser le mot de passe administratif à l'aide de diverses techniques , etc.

(Notez que si vous lancez WinRE directement, vous devez fournir un mot de passe administratif local avant de vous donner un accès en ligne de commande; cela ne s'applique pas si vous lancez WinRE en interrompant de manière répétée la séquence d'amorçage. Microsoft a confirmé être une faille de sécurité.)

Dans la plupart des scénarios, cela n'a pas d'importance, car un attaquant disposant d'un accès physique illimité à la machine peut généralement réinitialiser le mot de passe du BIOS et obtenir un accès administratif en démarrant à partir d'un support amovible. Toutefois, pour les machines de kiosque, dans les laboratoires d’enseignement, etc., des mesures sont généralement prises pour limiter l’accès physique, par exemple en cadenouillant et / ou en alarmant les machines. Il serait très gênant d'essayer également de bloquer l'accès des utilisateurs au bouton d'alimentation et à la prise murale. La supervision (en personne ou via des caméras de surveillance) pourrait être plus efficace, mais une personne utilisant cette technique serait toujours beaucoup moins évidente que, par exemple, une personne qui tente d'ouvrir le boîtier de l'ordinateur.

Comment l'administrateur système peut-il empêcher l'utilisation de WinRE en tant que porte dérobée?

Addendum: si vous utilisez BitLocker, vous êtes déjà partiellement protégé de cette technique. l'attaquant ne sera pas en mesure de lire ou de modifier des fichiers sur le lecteur chiffré. L’attaquant aurait toujours la possibilité d’effacer le disque et d’installer un nouveau système d’exploitation, ou d’utiliser une technique plus sophistiquée telle qu’une attaque de microprogramme. (Pour autant que je sache, les outils d’attaque de microprogrammes ne sont pas encore largement disponibles pour les assaillants occasionnels, ce n’est donc probablement pas une préoccupation immédiate.)

windows  security  windows-10  desktop-management 
Harry Johnston
source
1
Il convient également de noter que l’accès physique n’est pas une exigence, si seule une défaillance répétée de l’alimentation au démarrage est nécessaire. Cela pourrait arriver accidentellement aussi.
Alexander Kosubek
1
En passant, si un attaquant a un accès physique à votre PC, il a presque atteint son objectif.
Glglgl
@glglgl, cela augmente évidemment considérablement le risque. Mais dans ce cas d'utilisation, l'attaquant potentiel est généralement une personne qui doit avoir accès à l'ordinateur, car c'est la raison de son existence. Nous ne pouvons pas éliminer tous les risques, mais cela ne signifie pas que nous devrions abandonner et ignorer ceux où nous le pouvons.
Harry Johnston
Windows 10 WinRE ne vous donne pas accès à une invite de commande sans mot de passe administrateur. Dans ses flux, vous êtes invité à choisir l'un des comptes d'administrateur de Win10 et à fournir un mot de passe pour ce compte. Ce n'est que lorsque cette vérification est réussie que vous accédez à une invite de commande et à d'autres fonctionnalités telles que la réinitialisation du système.
videoguy
@videoguy, si vous lancez WinRE en interrompant à plusieurs reprises la séquence de démarrage, il ne vous donne accès à une invite de commande sans mot de passe admin. Ne me demande pas pourquoi. C'est comme ça que ça fonctionne. Cela a déjà été mentionné dans la question.
Harry Johnston

Réponses:

37

Vous pouvez utiliser reagentcpour désactiver WinRE:

reagentc /disable

Consultez la documentation de Microsoft pour des options supplémentaires en ligne de commande.

Lorsque WinRE est désactivé de cette manière, les menus de démarrage sont toujours disponibles, mais la seule option disponible est le menu Paramètres de démarrage, équivalent aux anciennes options de démarrage F8.

Si vous effectuez des installations sans assistance de Windows 10 et souhaitez que WinRE soit automatiquement désactivé lors de l'installation, supprimez le fichier suivant de l'image d'installation:

\windows\system32\recovery\winre.wim

L'infrastructure WinRE est toujours en place (et peut être réactivée ultérieurement à l'aide d'une copie de winre.wimet de l' reagentcoutil de ligne de commande), mais sera désactivée.

Notez que le Microsoft-Windows-WinRE-RecoveryAgentparamètre dans unattend.xmlne semble pas avoir d'effet dans Windows 10. (Toutefois, cela peut dépendre de la version de Windows 10 que vous installez; je ​​ne l'ai testé que sur la branche LTSB de la version 1607.)

Harry Johnston
source
1
Je suggère également d'ajouter une entrée de récupération manuellement qui ne fait pas partie de la recoverysequence. Cela permettra la récupération sans (espérons-le?) Démarré automatiquement.
Mehrdad
Il y a une raison pour laquelle WinRE est activé sur Win10. Si votre système ne parvient pas à démarrer et que vous souhaitez réparer, les outils WinRE vous aident à le faire. Une fois que quelqu'un a un accès physique, tous les paris sont ouverts. Désactiver cela n'aide pas vraiment à cet égard. Il est facile de créer une clé USB avec WinRE et d’amorcer à partir de celle-ci et a maintenant accès à l’ensemble du lecteur C: \.
videoguy
@videoguy, c’est la raison pour laquelle nous désactivons l’initialisation à partir d’USB dans le BIOS et alertons les utilisateurs afin que les utilisateurs ne puissent pas réinitialiser le mot de passe du BIOS. Et bien sûr, nous disposons des outils nécessaires pour réparer le système sans avoir besoin de WinRE, ou comme il s’agit de machines de kiosque, nous pouvons simplement les réinstaller.
Harry Johnston
16

Utilisez BitLocker ou tout autre cryptage de disque dur. C'est le seul moyen fiable et vraiment sécurisé de réaliser ce que vous voulez.

Swisstone
source
1
@HarryJohnston: Je ne connais pas très bien Windows, mais un attaquant disposant d'un accès physique à l'ordinateur ne pourra-t-il pas toujours effacer le lecteur et réinstaller le système d'exploitation?
Thomas Padron-McCarthy
2
@ ThomasPadron-McCarthy, pas si le BIOS est correctement configuré et qu'ils ne peuvent pas ouvrir le dossier.
Harry Johnston
11
"C'est le seul moyen fiable et véritablement sécurisé" Cela indique quasiment que l'autre réponse est invalide ou donne un faux sentiment de sécurité. Expliquer pourquoi cela rendrait cette réponse brève utile.
Mât
5
Cette. Si une personne qui coupe le pouvoir à plusieurs reprises pour obtenir un accès pose un problème, il est également tout à fait judicieux de placer le disque dans un ordinateur différent. Bitlocker (ou un logiciel similaire) est vraiment le seul moyen d'empêcher cela. Aucune information d'identification saisie, aucun accès au disque (inutile, un accès significatif de toute façon, vous pouvez tout écraser, mais vous pouvez toujours écraser le disque avec un marteau).
Damon
4
@ poizan42 le PO répond à cette autre préoccupation ailleurs. Ils ne sont concernés que par WinRE aux fins de cette question .
Pureferret
1

Bit Locker fonctionne également dans le cas où quelqu'un vole votre disque dur et l'utilise comme lecteur secondaire dans son PC afin que ce dernier démarre avec son système d'exploitation et son disque dur secondaire en tant que lecteur uniquement. Il ne nécessite aucun mot de passe. protégé par BitLocker, tout le monde peut facilement explorer son contenu. Soyez prudent, essayez de le faire car la répétition de ce comportement provoque une corruption grave des données.

Toujours utiliser le cryptage pour éviter ce genre de problème. Veuillez lire ceci pour plus d'informations sur le cryptage de disque.

Chiffrement de disque

TAHA SULTAN TEMURI
source
1
De quoi tu parles? Si vous souhaitez monter un lecteur bloqué en tant que lecteur secondaire, vous avez besoin de sa clé de récupération. Si vous faites quelque chose pour perturber le TPM sur la machine hôte, vous avez besoin de sa clé de récupération. Si vous démarrez depuis une copie du portail de Windows, vous aurez besoin de sa clé de récupération.
Mark Henderson
2
@ Mark, je pense que vous avez mal interprété cette réponse; cela signifie que si vous n'utilisez pas BitLocker, un attaquant peut voler le disque dur et accéder au contenu. Par contre, cela passe complètement à côté de l’objet de la question, qui concerne les ordinateurs sécurisés physiquement; Si l'attaquant ne parvient pas à ouvrir le dossier, il ne peut pas voler le disque dur.
Harry Johnston
Exactement @ Harry Johnstno, je voulais dire que le cryptage vous offre plus de sécurité.
TAHA SULTAN TEMURI
@HarryJohnston Si un attaquant ne parvient pas à ouvrir son dossier, il ne fait pas assez d'efforts. Une scie à métaux et de la graisse au coude "ouvriront" n'importe quel boîtier d'ordinateur, sans parler d'outils électriques ou d'un vieux "smash and grab". Pour ne pas dire que cela représente un risque probable pour un cas d'utilisation, il n'en reste pas moins que "sécurisé physiquement" est un terme relatif, et presque jamais si sûr, en réalité .
HopelessN00b
@ HopelessN00b, oui, tout est une question de profils de risque.
Harry Johnston
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.